Configurare l'accesso alla rete privata

Questa pagina descrive come configurare l'accesso alla rete privata e instradare il traffico all'interno di una rete Cloud de Confiance .

Per configurare l'accesso alla rete privata, devi configurare tre progetti:

  • Un progetto che contiene una rete Virtual Private Cloud (VPC) da utilizzare dalla macchina virtuale (VM) di destinazione o dal bilanciatore del carico interno di destinazione.
  • Un progetto che funge da progetto di servizio Service Directory.
  • Un progetto per un prodotto con la configurazione che richiama l'accesso alla rete privata. Cloud de Confiance Un esempio di Cloud de Confiance prodotto che può chiamare endpoint utilizzando l'accesso alla rete privata è Dialogflow CX.

Gli artefatti dei progetti potrebbero trovarsi nello stesso progetto o in progetti diversi.

Prima di iniziare

Prima di configurare l'accesso alla rete privata, completa i seguenti passaggi:

  • Per ogni progetto, nella console Cloud de Confiance , nella pagina API e servizi, fai clic su Abilita API e servizi per abilitare le API che vuoi utilizzare, inclusa l'API Service Directory.

  • Per collegare la rete VPC agli host on-premise, crea un tunnel Cloud VPN o una connessione Cloud Interconnect.

  • Assicurati che il progetto Cloud de Confiance rientri nel perimetro di Controlli di servizio VPC sia del progetto di rete sia del progetto Service Directory per servicedirectory.googleapis.com.

    Scopri di più sui Controlli di servizio VPC

Configura il progetto per la rete VPC

Per configurare il progetto per la rete VPC:

  1. Crea una rete VPC o seleziona una rete VPC esistente con una subnet solo IPv4 o dual-stack nella regione che vuoi utilizzare. Le reti legacy non sono supportate.

  2. Crea le regole firewall di autorizzazione in entrata necessarie.

    • Se la destinazione è una VM o un bilanciatore del carico di rete passthrough interno, le regole firewall devono consentire il traffico TCP dall'intervallo 35.199.192.0/19 alle porte utilizzate dal software in esecuzione sulle istanze VM di destinazione.

    • Se la destinazione è un bilanciatore del carico delle applicazioni interno o un bilanciatore del carico di rete proxy interno, le regole firewall devono consentire il traffico TCP dall'intervallo 35.199.192.0/19 all'indirizzo IP e alle porte utilizzati dal bilanciatore del carico.

    Per ulteriori informazioni sull'intervallo 35.199.192.0/19, consulta Percorsi per Cloud DNS e Service Directory.

  3. Concedi il ruolo di servizio autorizzato Private Service Connect (roles/servicedirectory.pscAuthorizedService) di Identity and Access Management (IAM) all'agente di servizio del prodotto Cloud de Confiance che chiamerà l'endpoint.

    Per ulteriori informazioni su ruoli e autorizzazioni, consulta Ruoli e autorizzazioni di Service Directory.

Configura il progetto Service Directory

Per configurare il progetto Service Directory:

  1. Nella rete VPC, crea una VM o un bilanciatore del carico interno.

  2. Concedi il ruolo IAM Visualizzatore Service Directory (roles/servicedirectory.viewer) al service agent del prodottoCloud de Confiance che chiamerà l'endpoint.

  3. Crea un servizio e uno spazio dei nomi Service Directory. Poi, crea un endpoint per questo servizio seguendo i passaggi della sezione successiva.

Crea un endpoint con accesso alla rete privata

Per creare un endpoint con l'accesso alla rete privata configurato:

Console

  1. Nella console Cloud de Confiance , vai alla pagina Spazi dei nomi di Service Directory. Vai agli spazi dei nomi Service Directory
  2. Fai clic su uno spazio dei nomi.
  3. Fai clic su un servizio.
  4. Fai clic su Aggiungi endpoint.
  5. In Nome endpoint, inserisci un nome per l'endpoint.
  6. In Indirizzo IP, inserisci un indirizzo IPv4, ad esempio 192.0.2.0.
  7. In Porta, inserisci un numero di porta, ad esempio 443 o 80.
  8. Per abilitare l'accesso alla rete privata, in Rete VPC associata, seleziona l'opzione richiesta:
    • Per scegliere da un elenco di reti disponibili, fai clic su Scegli dall'elenco e poi seleziona la rete.
    • Per specificare un progetto e una rete, fai clic su Specifica tramite un progetto e un nome di rete, quindi inserisci il numero di progetto e il nome della rete.
  9. Fai clic su Crea.

gcloud

Utilizza il comando gcloud service-directory endpoints create con l'ID progetto e il percorso di rete specificati.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Sostituisci quanto segue:

  • ENDPOINT_NAME: un nome per l'endpoint che stai creando nel tuo servizio, ad esempio my-endpoint
  • PROJECT_ID: l'ID progetto
  • REGION: la regione Cloud de Confiance che contiene lo spazio dei nomi
  • NAMESPACE_NAME: il nome che hai assegnato allo spazio dei nomi, ad esempio my-namespace
  • SERVICE_ID: l'ID del servizio
  • IP_ADDRESS: l'indirizzo IP dell'endpoint, ad esempio 192.0.2.0
  • PORT_NUMBER: le porte su cui vengono eseguiti gli endpoint, in genere 443 o 80
  • NETWORK_PATH: l'URL della rete, ad esempio projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Configura il progetto Cloud de Confiance prodotto

Per configurare il progetto Cloud de Confiance prodotto:

  1. Attiva l' Cloud de Confiance API del prodotto.

  2. Configura il tuo Cloud de Confiance prodotto per chiamare il servizio Service Directory che hai creato. I passaggi richiesti dipendono dal prodotto Cloud de Confiance specifico.

Casi d'uso

Questa sezione fornisce esempi di casi d'uso per la configurazione dell'accesso alla rete privata.

Chiama un endpoint HTTP quando una rete VPC, una VM e Service Directory si trovano nello stesso progetto

In questo caso d'uso, configuri Dialogflow CX, un prodotto Cloud de Confiance per l'elaborazione del linguaggio naturale, per chiamare un endpoint HTTP sulla tua VM. Quando chiami l'endpoint, assicurati che il traffico non passi attraverso la rete internet pubblica.

In questo caso d'uso, crea i seguenti artefatti nello stesso progetto:

  • Una rete VPC
  • Una VM
  • Un servizio Service Directory
  • Dialogflow CX

La Figura 1 mostra come consentire a una configurazione del servizio Google di un progetto di uscire verso una VM. La VM si trova in una rete VPC del progetto.

Consenti a una configurazione del servizio Google di un progetto di uscire verso una VM del progetto di rete.
Figura 1. Consenti a una configurazione del servizio Google di un progetto di uscire verso una VM (fai clic per ingrandire).

Configurare la rete e la rete di destinazione

  1. Crea un progetto, ad esempio myproject.

  2. Crea una rete VPC, ad esempio vpc-1.

    Durante la creazione della rete VPC, in Modalità di creazione subnet, seleziona Automatica.

  3. Crea una regola firewall, ad esempio firewall-1.

    Durante la creazione della regola firewall, inserisci o seleziona i seguenti valori:

    • In Rete, seleziona vpc-1.
    • In Intervalli IPv4 di origine, inserisci 35.199.192.0/19.
    • In Protocolli e porte, seleziona TCP e inserisci 443 o 80.

  4. Nella regione us-central1, crea una VM, ad esempio vm-1.

    Durante la creazione della VM, inserisci o seleziona i seguenti valori:

    • In Networking > Interfacce di rete, seleziona vpc-1.
    • Per Firewall, seleziona Consenti traffico HTTP.

    Se vuoi utilizzare HTTPS, seleziona Consenti traffico HTTPS. Assicurati inoltre di installare un certificato TLS (Transport Layer Security) dell'infrastruttura a chiave pubblica (PKI).

  5. Nella regione us-central1, crea uno spazio dei nomi, ad esempio namespace-1.

  6. Nello spazio dei nomi, registra un servizio Service Directory, ad esempio sd-1.

  7. Crea un endpoint in sd-1. Per l'indirizzo dell'endpoint, utilizza l'indirizzo IP interno di vm-1 sulla porta 443. Per saperne di più, consulta Crea un endpoint con accesso alla rete privata.

  8. Concedi i seguenti ruoli IAM al service agent del prodottoCloud de Confiance che chiamerà l'endpoint:

    • Ruolo Visualizzatore Service Directory (roles/servicedirectory.viewer)
    • Ruolo Private Service Connect Authorized Service (roles/servicedirectory.pscAuthorizedService)

  9. (Facoltativo) Se vuoi aggiungere altre VM, puoi configurarne un'altra, ad esempio vm-2, e aggiungere il relativo endpoint, ad esempio endpoint-2.

Configurare un prodotto Cloud de Confiance

  1. Configura una Cloud de Confiance configurazione del prodotto, ad esempio " Cloud Scheduler, chiamami ogni minuto".
  2. Configura una richiesta HTTP.
  3. Specifica che le richieste devono passare attraverso il networking privato, ad esempio tramite sd-1.
  4. (Facoltativo) Configura le impostazioni del servizio di autorità di certificazione.

Il prodotto Cloud de Confiance ora può richiamare la richiesta HTTP utilizzando sd-1.

Chiamare un endpoint HTTP quando una rete VPC condiviso, una VM e Service Directory si trovano in progetti diversi

In questo caso d'uso, configuri Dialogflow CX, un servizio Cloud de Confiance per l'elaborazione del linguaggio naturale, per chiamare un endpoint HTTP sulla tua VM. Quando chiami l'endpoint, assicurati che il traffico non passi attraverso la rete internet pubblica.

In questo caso d'uso, creerai i seguenti artefatti in progetti diversi:

  • Una rete VPC condiviso
  • Una VM
  • Un servizio Service Directory
  • Dialogflow CX

Prima di creare i progetti, tieni presente quanto segue:

  • Assicurati che la chiamata API rispetti il perimetro dei Controlli di servizio VPC.
  • Assicurati che la configurazione del progetto di servizio Cloud de Confiance consenta l'uscita a una VM che si trova nel progetto di rete VPC.
  • Il progetto del produttore potrebbe non corrispondere al progetto del servizio Cloud de Confiance .
  • Assicurati che vengano utilizzati i perimetri di Controlli di servizio VPC di entrambi i progetti.
  • Il progetto Service Directory e il progetto di rete non devono essere connessi, ma devono far parte degli stessi Controlli di servizio VPC.
  • Nella rete e nel servizio, il firewall e IAM sono disattivati per impostazione predefinita.

La Figura 2 mostra come puoi inviare traffico utilizzando l'accesso alla rete privata con i perimetri dei Controlli di servizio VPC applicati.

Invia traffico utilizzando l'accesso alla rete privata con i perimetri dei Controlli di servizio VPC applicati.
Figura 2. Invia traffico utilizzando l'accesso alla rete privata con i perimetri dei Controlli di servizio VPC applicati (fai clic per ingrandire).

Configura il progetto di rete

  1. Crea un progetto, ad esempio my-vpc-project.

  2. Crea una rete VPC, ad esempio vpc-1.

    Durante la creazione della rete VPC, per Modalità di creazione subnet, seleziona Automatica.

  3. Crea una regola firewall, ad esempio firewall-1.

    Durante la creazione della regola, inserisci o seleziona i seguenti valori:

    • In Rete, seleziona vpc-1.
    • In Intervalli IPv4 di origine, inserisci 35.199.192.0/19.
    • In Protocolli e porte, seleziona TCP e inserisci 443 o 80.

  4. Nella regione us-central1, crea una VM, ad esempio vm-1.

    Durante la creazione della VM, inserisci o seleziona i seguenti valori:

    • In Networking > Interfacce di rete, seleziona vpc-1.
    • Per Firewall, seleziona Consenti traffico HTTP.

    Se vuoi utilizzare HTTPS, seleziona Consenti traffico HTTPS. Assicurati inoltre di installare un certificato TLS (Transport Layer Security) dell'infrastruttura a chiave pubblica (PKI).

Se utilizzi Controlli di servizio VPC, il perimetro di Controlli di servizio VPC consente a Service Directory di connettersi sia al progetto di servizio Cloud de Confiance sia al progetto Service Directory.

Configura il progetto Service Directory

  1. Crea un progetto, ad esempio my-sd-project.

  2. È necessaria un'autorizzazione IAM aggiuntiva perché il progetto di rete VPC e il progetto Service Directory sono progetti diversi.

    Dal progetto di rete, concedi il ruolo Autore collegamento rete di Service Directory (roles/servicedirectory.networkAttacher) all'entità IAM che crea l'endpoint Service Directory.

  3. Crea un endpoint Service Directory che rimandi alla VM nella rete VPC:

    1. Nella regione us-central1, crea uno spazio dei nomi, ad esempio namespace-1.
    2. Nello spazio dei nomi, registra un servizio Service Directory, ad esempio sd-1.
    3. Crea un endpoint in sd-1. Per l'indirizzo dell'endpoint, utilizza l'indirizzo IP interno di vm-1 sulla porta 443. Per saperne di più, consulta Crea un endpoint con accesso alla rete privata.

  4. Concedi i seguenti ruoli IAM al service agent del prodottoCloud de Confiance che chiamerà l'endpoint:

    • Ruolo Service Directory Viewer (roles/servicedirectory.viewer) nel progetto Service Directory
    • Ruolo Private Service Connect Authorized Service (roles/servicedirectory.pscAuthorizedService) nel progetto di rete

Se utilizzi Controlli di servizio VPC, il perimetro di Controlli di servizio VPC consente a Service Directory di connettersi sia al progetto di servizio Cloud de Confiance sia al progetto Service Directory.

Configura il Cloud de Confiance progetto di servizio

  1. Abilita l'API per il servizio Cloud de Confiance che stai utilizzando.
  2. Per configurare il servizio Cloud de Confiance PUSH, utilizza il servizio Service Directory del progetto Service Directory.

Se utilizzi Controlli di servizio VPC, il perimetro di Controlli di servizio VPC consente a Service Directory di connettersi sia al progetto di rete sia al progetto Service Directory.

Utilizzare l'accesso alla rete privata di Service Directory con Dialogflow

Per istruzioni su come utilizzare l'accesso alla rete privata di Service Directory con Dialogflow, consulta Utilizzo di Service Directory per l'accesso alla rete privata.

Passaggi successivi